Acronis warnt vor KI-Malware und unsichtbaren Angriffen im Jahr 2026
Sicherheitsforscher des Schweizer Unternehmens prognostizieren eine grundlegende Verschiebung der Bedrohungslandschaft – mit sieben zentralen Gefahren für Unternehmen.
Laut der Acronis Threat Research Unit (TRU) steht die Cybersicherheitsbranche 2026 vor einer tiefgreifenden Veränderung. Angriffe werden demnach automatisierter, skalierbarer und für klassische Erkennungsmethoden zunehmend unsichtbar. Das Schweizer Unternehmen hat sieben Entwicklungen identifiziert, die IT-Sicherheitsverantwortliche im kommenden Jahr besonders im Blick behalten sollten.
Im Zentrum der Prognose steht der Einsatz künstlicher Intelligenz – sowohl auf Seiten der Angreifer als auch als neues Angriffsziel. Gleichzeitig verlagern sich die Aktivitäten von Cyberkriminellen zunehmend in Bereiche, die von herkömmlichen Sicherheitslösungen nur schwer überwacht werden können: Edge-Geräte, Virtualisierungsschichten und die legitimen Werkzeuge der Unternehmensinfrastruktur selbst.
Schadsoftware mit eingebauter Intelligenz
Die Acronis-Forscher erwarten für 2026 die erste breite Welle von Malware, die ihr Verhalten während der Ausführung selbstständig anpasst. Laut TRU sollen eingebettete KI-Module die lokale Umgebung kontinuierlich analysieren und daraufhin Codepfade wechseln, Umgehungslogiken verändern sowie Kommunikationskanäle zu Command-and-Control-Servern flexibel anpassen können. Statische Erkennungsverfahren würden dadurch an Wirksamkeit verlieren. Acronis zufolge ermöglicht diese Entwicklung auch weniger versierten Angreifern, automatisierte Kampagnen in großem Maßstab durchzuführen.
Parallel dazu soll sich Prompt-Injection als Massenphänomen etablieren. Mit der zunehmenden Verbreitung KI-gestützter Browser und Assistenten entstehe ein neues Einfallstor, so die Experten. Diese Systeme analysieren Webseiten, speichern Kontextinformationen und führen Aufgaben in natürlicher Sprache aus. Angreifer könnten versteckte Anweisungen in Werbung, Kommentaren, HTML-Attributen oder dynamisch generiertem Text platzieren. Die möglichen Folgen reichen laut Acronis von automatisierten Kontoaktionen über Datenabfluss bis hin zu unautorisierten Interaktionen mit Unternehmenssystemen.
Cyberkriminalität wird zur Dienstleistung
Das kriminelle Ökosystem professionalisiert sich laut den Sicherheitsforschern weiter. Generative KI diene dabei als Effizienztreiber für das Modell „Crimeware-as-a-Service“. Die Technologie beschleunige Phishing, Identitätsfälschung, Datenanalyse und Codegenerierung – auch für unerfahrene Akteure. Acronis beschreibt eine zunehmende Arbeitsteilung: Infrastrukturanbieter, KI-Tool-Entwickler, Access Broker und ausgelagerte Support-Teams würden skalierbare Angriffsmodelle mit hoher Effizienz schaffen.
Gleichzeitig verlagern Angreifer ihre Aktivitäten laut TRU verstärkt in Richtung Edge-Geräte. Schadcode werde direkt in Firmware oder unauffällige Komponenten eingebettet, die selten überprüft würden. Diese Implantate blieben im Normalbetrieb inaktiv und entzögen sich konventionellen Erkennungsmechanismen.
Virtualisierung wird zum strategischen Angriffsziel
Die Nutzung isolierter Mikro-VMs zur Durchführung von Angriffen nimmt laut Acronis rasant zu. Ab 2026 sollen temporäre virtuelle Umgebungen vermehrt zur Ausführung von Loaders, Command-and-Control-Logik und zur Datenerfassung eingesetzt werden – nahezu spurenlos für hostbasierte Sicherheitssysteme.
Darüber hinaus verlagern Angreifer ihren Fokus laut den Forschern vom Gastbetriebssystem auf die darunterliegende Virtualisierungsschicht. Hypervisoren, Orchestrierungssysteme und Cloud-Virtualisierungsplattformen entwickelten sich zu strategischen Angriffszielen mit dem Potenzial, ganze Umgebungen lahmzulegen. Die TRU warnt insbesondere vor Risiken durch die zunehmende Migration von etablierten Plattformen wie VMware ESXi hin zu Open-Source-Lösungen wie Proxmox. Inkonsistente Härtung und Fehlkonfigurationen würden dabei zu Einfallstoren.
Angriffe ohne klassische Schadsoftware
Die folgenreichsten Angriffe des Jahres 2026 werden laut Acronis ganz ohne klassische Malware auskommen. Stattdessen nutzten Angreifer vorhandene Tools und Berechtigungen innerhalb der Infrastruktur. Sie kompromittierten Identitäten, fingen Tokens ab, manipulierten APIs und bedienten sich Cloud-Konsolen. Diese als „Living off the Land“ bezeichneten Techniken verließen sich auf systemeigene Werkzeuge, Remote-Management-Tools, verwundbare Treiber und Cloud-native Workflows.
„Angriffe entwickeln sich schneller als viele Verteidigungsstrategien – getrieben durch KI, Automatisierung und die zunehmende Verschmelzung von Cloud-, Edge- und Virtualisierungsinfrastrukturen“, sagt Santiago Pontiroli, Cybersecurity Researcher und Team Lead bei der Acronis TRU. Unternehmen dürften sich nicht länger auf klassische Erkennungsmethoden verlassen, sondern bräuchten tiefere Transparenz, adaptive Schutzmechanismen und eine Sicherheitsarchitektur, die mit der Dynamik aktueller Bedrohungen Schritt halte.